Te traemos una guía para saber qué hacer cuando recibes un intento de estafa por SMS, con toda la información que vas a necesitar para enfrentarte a ellos. En este texto, vamos a intentar explicarte de la manera más extensa y sencilla posible cómo funcionan estas estafas, para que seas capaz de identificarlas y evitar caer en ellas.
También te vamos a decir qué puede pasarte en el caso de que caigas en una de estas estafas, y terminaremos explicándote qué puedes hacer si has sido víctima de una de ellas, para que sepas cómo recuperar tu cuenta, a quién avisar, o cómo denunciar este tipo de estafas.
Qué son el Smishing y el SMS Spoofing
Vamos a empezar familiarizándonos con algunos de los términos que vamos a encontrarnos cuando leamos sobre este tipo de estafas. A menudo, puede que encuentres información sobre ellas, pero con una terminología que quizá te confunda o no entiendas bien. Aquí, hay tres términos que debes conocer, los de phishing, smishging y SMS spoofing.
El phishing podríamos decir que es un término genérico con el que nos referimos a varios tipos de estafa, que pueden darse por varios medios diferentes. La palabra significa pescar, y básicamente es ir lanzando engaños de forma masiva con la esperanza de que algunas de las personas a las que les llega pican en ellos.
El smishing es el nombre de una técnica concreta de phishing. Su significado viene a ser el de SMS phishing, o pesca a través de SMS. Por lo tanto, es la técnica que se utiliza para estafarte a través de mensajes de texto haciéndose pasar por empresas o entidades reales, y con la que buscan robar tus datos o infectar tus dispositivos.
Por último, el SMS spoofing son las técnicas para enviar SMS falsificando el remitente de los mensajes, de forma que a ti te aparezca como que te ha llegado un mensaje de tu banco. A veces, tu móvil puede incluso agrupar estos mensajes con los que son reales del banco u otro servicio, haciendo el engaño más peligroso. Para ello, los cibercriminales suelen contratar servicios externos que permiten hacer esto.
Por lo general, las estafas por SMS suelen ser una combinación de Smishing y SMS Spoofing, ya que te intentan engañar mediante estafas por SMS que envían a muchísimas otras personas, y lo hacen haciéndose pasar por otras entidades. La idea es que cuando recibas el mensaje pienses "caray, es un mensaje de mi banco, seguro que es importante". Entonces, esa preocupación por ver quién parece enviarte el mensaje puede hacerte bajar la guardia.
Cómo consiguen los delincuentes tu número
¿Pero por qué te llegan estos mensajes fraudulentos? ¿De dónde han sacado los cibercriminales tu número de teléfono? Y lo que es peor, a veces en los mensajes aparecerá tu nombre o tu DNI, o esos no son datos que le das a cualquiera, y el hecho de que los sepan puede hacer que te creas un poco más que quizá sí son la entidad que dicen ser... cuando realmente no lo son.
Esta información, la suelen obtener de filtraciones de datos masivas, tanto robando datos a grandes empresas como robando los packs de datos que los cibercriminales suelen poner a la venta. Por poner un ejemplo, en 2021 ThePhoneHouse fue hackeado, y robaron datos como nombres, números de teléfono o DNIs de cerca de 13 millones de clientes.
Y como este, suele haber muchos casos. En la última década, los robos masivos de datos a grandes empresas están a la orden del día, y cada año suele haber varios. Por eso, cuando coincide que tú eres usuario o cliente de esa empresa, los cibercriminales pueden acceder a tus datos y utilizarlos, o vendérselos a otros cibercriminales que quieran usarlos y compren packs con datos de cientos de miles de personas para intentar crear una campaña de estafas.
También cabe la posibilidad de que hayas caído en algún otro engaño, alguna trampa de phishing que aparentemente era inofensiva, pero con la que pueden haberte extraído más información que usarán después. Sin embargo, lo común es que simplemente recurran a los datos de filtraciones masivas.
Qué tipo de estafas te pueden llegar por SMS
Existen varios tipos de estafa muy comunes que pueden llegarte por SMS, aunque todas empiezan con mensajes SMS en los que un cibercriminal se hace pasar por alguna entidad, servicio u empresa, como un banco o una agencia de transportes, o cualquier otra tipo de empresas. Envían estos mensajes de forma masiva, esperando que coincida que se están haciendo pasar por el banco que usas, o la empresa de la que eres cliente o de la que estás esperando algo.
Además, se te suele hacer creer que ha surgido un problema urgente o que hay alguna amenaza inminente. Por ejemplo, se te puede decir que hay problemas con tu cuenta bancaria, que tu cuenta ha sido suspendida, o que hay problemas con un servicio que tienes contratado o un envío que estás esperando.
Ten en cuenta que a veces los mensajes fraudulentos pueden llegarte al mismo grupo de mensajes donde tienes los reales de la entidad. Esto es así en los ataques más sofisticados en los que el cibercriminal consigue falsificar el remitente para que parezca que realmente es un mensaje de esta empresa.
La idea con esto es preocuparte, y que te pongas nervioso o nerviosa, de manera que la preocupación haga que bajes la guardia, y que la necesidad de solucionar un problema que parece serio haga que vayas inmediatamente al enlace que han compartido contigo mediante el SMS. Porque ese es el punto importante de estas estafas, que siempre te intentarán hacer pulsar sobre un enlace que te lleve a una página fraudulenta que te han diseñado para completar el engaño.
Aquí viene la otra parte importante de este tipo de estafas, y es que el enlace de los SMS te llevará a una página diseñada para hacerse pasar por la web real de la empresa, entidad o servicio que están haciéndote creer que son. Así, tú creerás que una empresa o entidad real te ha escrito diciéndote que hay un problema, y que te han llevado a una web oficial en la que vas a poder solucionarlo.
Por ejemplo, tienes las estafas por SMS bancarias de hace unas semanas. En ellas, se te dice que tu cuenta de banco ha sido suspendida, y que tienes que seguir una dirección que te adjuntan en el mensaje para confirmar tu identidad. Han creado una alarma, y te han empujado a actuar inmediatamente ofreciéndote una solución rápida.
Cuando entres en la web fraudulenta puedes encontrar diferentes cosas, dependiendo del tipo de ataque al que te enfrentes. En todos los casos, repetimos, la idea es que creas que estás en la web real de la empresa por la que el atacante se hace pasar y que sigas las instrucciones de lo que te dicen que hagas.
En algunos tipos de ataque, lo que se te va a pedir es que inicies sesión para robarte tus datos de acceso al banco o a tu cuenta en ese servicio. Si el ataque es muy sofisticado, puede que incluso el atacante use las credenciales de inmediato y te pida por la web fraudulenta que escribas algún tipo de código de confirmación que te llegue por mensaje.
Pero en otros tipos de ataque, se te puede pedir que te descargues alguna aplicación al móvil, y esto sí puede ser peligroso, porque esta app casi siempre será un virus con el que infectarte. Es lo que pasó hace unos meses con los falsos SMS de Correos que infectaron a muchos móviles con el virus FluBot.
También pueden ser mediante llamadas
También hay otros casos en los que los atacantes vayan más allá del SMS, e intenten estafarte llamándote por teléfono y diciéndote que son de tal empresa, y que necesitan algunos datos tuyos. Por ejemplo, alguien puede llamarte diciéndote que es un empleado de tu banco, y puede decirte tu nombre y tu DNI fingiendo que está comprobando tu identidad.
Como te hemos dicho antes, estos datos pueden haberlos obtenido de filtraciones masivas. Una vez capte tu atención diciéndote el nombre y DNI, ese falso empleado puede decirte cosas como que ha habido un problema, y que van a enviarte un enlace para solucionarlo.
Entonces, ese atacante puede iniciar el proceso de entrar en tu cuenta bancaria con los datos que ya tiene, y cuando el banco te envíe el SMS de confirmación con un código, el atacante te pedirá que se lo des para completar el proceso y entrar en tu cuenta. Ha habido casos en los que se ha hecho haciéndose pasa por un banco, pero esto pueden hacerlo fingiendo ser empleados de cualquier otra empresa en la que tengas una cuenta, incluso en Microsoft o Google.
Qué puede pasar si consiguen engañarte
Si consiguen engañarte con estas estafas, el resultado no será bueno. En el mejor de los casos, puede que ser una estafa sencilla y lo único que hagan sea conseguir más datos personales tuyos a través de algún tipo de formulario. Pero cuidado, porque luego con estos datos, cuando pasen unos meses y te hayas olvidado de todo, puede que intenten una estafa más compleja aprovechando que saben más información sobre ti con la que hacerte creer que son quienes dicen ser.
Pero es más común que lo que busquen es robarte el acceso a tu cuenta bancaria o de ese servicio o empresa por el que se estén haciendo pasar. Son comunes las estafas bancarias con esta metodología, y una vez tengan acceso a tu banco, podrían robarte el acceso y hacer operaciones en tu nombre, como enviar dinero a cuentas pertenecientes a los criminales o a sus cómplices.
También puede haber casos no tan serios, pero donde te roben el acceso a una cuenta importante y luego te pidan un rescate a cambio de poder acceder a ella. O que utilicen esa cuenta para hacerse pasar por ti y estafar a otras personas y amigos tuyos que tienen confianza en ti y en lo que les dices.
Los ataques más sofisticados pueden hacer que te descargues un virus en el móvil, como pasaba con el virus FluBot. En aquel caso, el virus sustituía tu app de SMS para que no detectases lo que hacían en tu nombre, y registraba y recopilaba todo lo que haces y escribes en tu móvil, incluyendo nombres de usuario y contraseñas a sus servicios. Con esto, podían robarte prácticamente cualquier cuenta y cualquier cosa.
Cómo evitar estas estafas
Para evitar estos tipos de estafa por SMS debes tener algunas cosas en mente. Lo primero es que tu banco nunca te va a enviar un SMS con enlaces o pidiéndote tus claves para acceder a la cuenta. Como mucho, te enviarán mensajes informativos, para que luego tú vayas a la página web oficial o a su aplicación móvil a hacer la gestión que sea. Y lo mismo pasa con la mayoría de servicios con información sensible.
Por lo tanto, desconfía siempre automáticamente de cualquier SMS que te pida entrar a un enlace para hacer cualquier tipo de gestión. Da igual si es porque tu casa se está incendiando o por si te han robado dinero, no piques, no entres en ese enlace.
Si te fijas, estos mensajes siempre enviarán enlaces falsos que intentan hacerse pasar por los verdaderos. Esto es algo que es importante saber para poder identificarlos correctamente. Por ejemplo, la URL del BBVA es BBVA.es, y por mucho que haya otros subdominios primero, siempre siempre siempre acabará en bbva.es.
Si la dirección contiene el nombre bbva o bbva.es pero acaba de forma diferente, como bbva.es.engaño.xyz, ese engaño.xyz es el que determina la web a la que accedes, y así identificas que es fraudulenta. Las webs fraudulentas de los mensajes pueden ser calcos idénticos a las reales, y por eso, entres o no entres, es importante revisar siempre las direcciones para comprobar que son la de verdad.
También es importante que seas capaz de reconocer las páginas que recortan enlaces. Si en la dirección hay un símbolo /, todo lo que hay después pertenece a la web anterior. Volviendo al ejemplo, si la web es engaño.xyz/bbva.es, el bbva.es ya no será la página principal, puesto que está después del /.
Y si te quedas con la duda por el mensaje que puedas haber recibido, entra siempre manualmente desde la app o la web oficial del banco o servicio. Vamos, que nunca pulses en la dirección que te envían por SMS, sino que vayas al navegador y escribas manualmente la dirección de tu banco para entrar en él. Si la notificación es real, te aparecerá también en el área de notificaciones de la app o la web de tu banco.
Además de esto, también debes saber que ni un banco ni un servicio importante, nunca te van a llamar por teléfono para pedirte códigos de confirmación ni que les digas ninguna información que te llegue por mensaje. Nunca hagas caso a estas llamadas, por mucho que digan tu nombre, tu DNI, o el nombre de familiares u otros datos sensibles.
Además de esto, una web real de un banco y servicio nunca te va a pedir que te bajes un archivo APK para instalar una aplicación. Lo que hará será enlazar a las tiendas oficiales de Android o iOS para que te bajes su app desde ahí, pero si intentan que te bajes el archivo de la aplicación para instalarlo a mano, seguro que es un virus.
Qué hacer si te han robado con un SMS fraudulento
Nadie es perfecto, y puede que sin quererlo hayas acabado siendo una víctima de uno de estos fraudes. En estos casos, es útil saber qué puedes hacer y cómo denunciar este tipo de estafas o robos. Primero siempre tienes que revisar qué datos pueden haberte robado, y si te han robado información de contacto, información bancaria, o directamente dinero. Si te roban dinero, es importante recopilar todos los datos posibles de la estafa para denunciar.
Si te roban información de contacto
Uno de los mejores escenarios en los que te puedes encontrar con estas estafas es que simplemente les des información de contacto como tu número de teléfono o correo electrónico, además de tu nombre o apellidos. Esto no supone una amenaza inminente, pero son datos que pueden usarse esos datos para futuros ataques, tanto hacia ti como hacia otras personas en tu nombre.
Por eso, si te han robado información de contacto debes estar preparado para que te lleguen más llamadas, SMS o correos fraudulentos en un futuro, y prestar especial atención a posibles mensajes y ofertas que te lleguen para no volver a caer en la trampa y acabar dando información más seria sobre ti.
Si te roban información bancaria
En el caso de que te roben información bancaria, entonces es algo más serio. Si obtienen los datos de tu tarjeta quizá podrían utilizarlos para realizar pagos en tu nombre. Si detectas que ha podido pasar esto, conviene cancelar la tarjeta que haya sido comprometida para evitar que esto pase y pedirle otra nueva a tu banco.
Tanto si te han robado datos bancarios como si directamente ya los han usado para sustraerte dinero, o incluso aunque solo hayas detectado la estafa pero no hayas picado, siempre es de vital importancia que avises a la entidad bancaria. De esta manera, pueden intentar investigar quién es el estafador, y también avisar al resto de clientes para que extremen las precauciones.
Sobre los robos de información bancaria, debes saber que si han sacado dinero con tus datos no podrás recuperarlo. Hay otros casos en los que las noticias son mejores. Si han usado tus datos para realizar pagos en tu nombre en algún establecimiento, puedes contactarlo para intentar obtener una devolución.
Y si se ha hecho una transferencia bancaria en tu nombre, el banco podría cancelarla o revertirla, aunque siempre depende del banco de destino, y de si el estafador ha movido el dinero a una cuenta tercera para que no puedas recuperarlo. Por eso vuelvo a decirte que es importante contactar siempre con el banco y explicarlo todo, para ver si hubiera alguna manera de recuperar el dinero.
Contacta con instituciones suplantadas
Aunque lo hemos mencionado antes, vamos a hacer un inciso para recalcar que siempre es importante avisar a la entidad, servicio o empresa por la que se hayan hecho pasar. Es útil que te pongas en contacto con ellos por correo y redes sociales, y les expliques el tipo de estafa que te han encontrado. Inclsuo si no has picado. Así, estas entidades o empresas podrán investigarlo y/o avisar al resto de usuarios o clientes.
Además, también es muy útil que avises por redes sociales de las campañas de phishing, ya que unos retuits a tiempo pueden hacer que este aviso les llegue a otros usuarios antes de que la empresa o el servicio reaccione, y así puedes evitar que otras personas se vean afectadas.
Si te roban el acceso a una cuenta y servicio
En el caso de que te hayan robado el acceso a alguna de tus cuentas online, entonces tendrás que proceder con los métodos de cada servicio para recuperar el acceso. Por ejemplo, si has hecho la configuración previa necesaria, vas a poder recuperar tus cuentas de Apple, Google o Microsoft, y también recuperar tu cuenta de WhatsApp y el resto de principales servicios.
Debes tener en cuenta que hay veces en las que estos procedimientos pueden tardar un poco, por lo que es importantísimo avisar a tus contactos mientras no tengas acceso a tu cuenta, para evitar que puedan utilizarla para engañarles haciéndoles pensar que eres tú para hacerles caer en alguna otra estafa o robarles sus datos.
Aquí, si estás leyendo esto porque ya te han robado una cuenta no hay mucho más que hacer, simplemente tendrás que lidiar con los procesos de cada servicio o acudir a sus sistemas de atención al cliente. Pero en adelante, intenta tener activada la verificación en dos pasos en todas las cuentas donde se permita, para que así sea más difícil que te las roben.
También es importante cambiar la contraseña en cuanto recuperes la cuenta, cambiarla en todos los servicios donde repitas esta contraseña, ya que los atacantes podrían intentar acceder a otras cuentas donde repitas el mismo nombre de usuario y contraseña. Esta es solo una de las muchas razones por las que siempre es recomendable no repetir nunca ninguna contraseña en tus servicios online.
Y por supuesto, cuando recuperes una cuenta que te han robado, deberías dar por hecho que te han robado toda la información que haya en ella, como contactos, número de teléfono, correo, o tus fotografías. Por eso es importante que avises a tus contactos por si acaso, y que prestes atención a futuras campañas de phishing.
Denuncia las estafas por SMS fraudulentos
Y también es importante denunciar este fraude a las autoridades, y que así se pueda investigar y consigan encontrar y detener a los responsables. Para esto hay varios caminos. Por ejemplo, puedes plasmar tu denuncia en el formulario online de la Policía Nacional, que está en esta página web. En ella, eligiendo el método de denuncia en línea, se te guiará paso a paso por su formulario donde plasmar la denuncia por phishing.
También podrás denunciar el fraude en la Guardia Civil, en cuyo formulario online podrás interponer denuncias por estafas cibernéticas. En la web a la que accedes, verás que podrás realizar la denuncia de forma presencial, o utilizar su sede electrónica para hacerlo, donde se te exigirá tu firma digital.
Y también puedes contactar con el Instituto Nacional de Ciberseguridad, que tiene varios métodos para denunciar fraudes y ataques digitales. Vas a poder llamarles al número gratuito 017, contactarles por WhatsApp o por Telegram, o usar su formulario web para empresas o particulares.
Ver 3 comentarios